Microsoft hat kürzlich die Windows Insider Build 25381 im Canary Channel veröffentlicht. Diese Version wurde am 2. Juni 2023 veröffentlicht und enthält einige neue Funktionen und Änderungen, die wir in diesem Artikel zusammenfassen werden.
SMB-Signierung wird Standard für Enterprise-Editionen
Eine der wichtigsten Neuerungen der Windows 11 Insider Preview Build 25381 ist die Änderung der Anforderung für SMB-Signierung. Diese ist ist ein Sicherheitsmechanismus, der die Integrität und Authentizität der Daten gewährleistet, die zwischen SMB-Clients und -Servern ausgetauscht werden. Dadurch sollen Angriffe wie Man-in-the-Middle- oder Replay-Attacken verhindert werden, bei denen ein Angreifer die Daten manipulieren oder weiterleiten können.
Ab der Windows 11 Insider Preview Build 25381 ist die SMB-Signierung nun standardmäßig für alle Verbindungen erforderlich, zumindest für Nutzer der Enterprise-Editionen. Dies ändert das bisherige Verhalten, bei dem Windows 10 und 11 SMB-Signierung standardmäßig nur dann erforderten, wenn eine Verbindung zu Freigaben mit den Namen SYSVOL und NETLOGON hergestellt wurde, und bei diesem ein Active Directory-Domänencontroller die SMB-Signierung erforderte.
Drittanbieter könnten jedoch die SMB-Signierung deaktivieren oder nicht unterstützen. Wenn also versucht wird, eine Verbindung zu einer Remote-Freigabe auf einem SMB-Server eines Drittanbieters herzustellen, der SMB-Signierung nicht zulässt, wird Windows 11 künftig eine der folgenden Fehlermeldungen anzeigen:
- 0xc000a000 -1073700864 STATUS_INVALID_SIGNATURE
- Die kryptografische Signatur ist ungültig.
Falls es dazu kommt, empfiehlt Microsoft, den Server so zu konfigurieren, dass er Signierung unterstützt. Der Konzern empfiehlt Kunden nicht, die SMB-Signierung in Windows zu deaktivieren oder SMB1 als Workaround zu verwenden. Die SMB-Signierung kann die Leistung von Kopieroperationen verringern, was mit mehr physischen CPU-Kernen oder virtuellen CPUs sowie neueren, schnelleren CPUs ausgeglichen kann, schreibt Microsoft in seinem offiziellen Blogpost.
Mit den folgenden PowerShell Befehlen können die aktuellen SMB-Signatureinstellungen angezeigt werden:
- Get-SmbServerConfiguration | fl requiresecuritysignature
- Get-SmbClientConfiguration | fl requiresecuritysignature
Um die Anforderung für SMB-Signierung in Client-Verbindungen zu deaktivieren, gibt es den folgenden PowerShell-Admin-Befehl:
- Set-SmbClientConfiguration -RequireSecuritySignature $false
Um die Anforderung für SMB-Signierung in Server-Verbindungen (auf Windows 11 Insider Preview Build 25381 und höher mit Enterprise Edition-Geräten) zu deaktivieren, gibt es den folgenden PowerShell-Befehl als Administrator:
- Set-SmbServerConfiguration -RequireSecuritySignature $false
Ein Neustart ist nicht erforderlich, aber bestehende SMB-Verbindungen verwenden weiterhin Signierung, bis sie geschlossen werden.